A Groupon leányvállalatánál történt az eset, a javítás többször is sikertelen volt
Paul Ducklin, a Sophos technológiai vezetője, a Sophos NakedSecurity blogból
A digitális kedvezményeket nyújtó Groupon vállalat jól ismert az USA-ban, de a világ más részein is tevékenykedik leányvállalatain keresztül. A cég nemrégiben megszerezte az indiai SoSasta digitális kedvezményeket nyújtó operátort, amely egy külön India-specifikus weboldalt üzemeltet a SoSasta név alatt.
Ha Ön nincs képben a működéssel kapcsolatban: az oldalon keresztül licitálhat leértékelt tárgyak, áruk, szolgáltatások megvásárlásához, például egy ebédre az Új-Delhiben található Hilton Hotelben.
Miután a licitek elérik a minimum összeget, az összes licitáló megkapja a kedvezményes árat.
Persze az oldalon keresztül történő licitálás azt jelenti, hogy rendelkezni kell egy azonosítóval az oldalon, ami persze azt is jelenti, hogy felhasználónév és jelszó is szükségeltetik. Ehhez meg ugye egy hitelesítési rendszer is kell.
Na itt hasalt el a SoSasta.
A hét elején a Sydney biztonsági kutatója, Daniel Grzelak - Google kereséseket hajtott végre olyan kifejezések széles körével, amelyekkel potenciális adatbázis elszivárgást lehet kiszúrni.
A SoSasta oldalán végrehajtott keresés alkalmával Grzelak nem csak adatbázis sémákat és más egyéb információkat talált, hanem segítséget a betöréshez is. Felfedett egy olyan adatbázist, amelyben felhasználók, belejentkezési nevek és egyszerű szöveges jelszavak voltak - egész pontosan 300,000 - és mindezt a böngészőjében.
(Valójában a SoSastánál a bejelentkezési nevek emailcímek, ezért a lista inkább spammeléshez alkalmasabb, még a jelszók nélkül is.)
Grzelak a jól ismert ausztrál Risky Business nevű biztonsági oldalon keresztül a Groupon tudomására hozta az esetet, és a csoport hitelessége miatt a kérdéses részeket igen gyorsan megjavították. Az adatbázis már nem érhető el Google keresések által. A SoSasta is már felvette a kapcsolatot felhasználóival és javasolta, hogy változtassák meg jelszavaikat.
De továbbra is rossz hírekkel szembesülhetnek a Groupon és a SoSasta vállalatoknál. Ők igazából csak szépítették a hibákat, ez pedig egy hibázás-javítás-hibázás szituációhoz vezetett. Le is írom, miért.
Először is, tudatni az emberekkel, hogy jelentkezzenek be egy tudvalevően veszélyeztetett jelszóval annak megváltoztatásához, igencsak kockázatos. Összességében a csalók már valószínűleg meg is változtatták a jelszavát - kizárva Önt ezzel a saját azonosítójából, és bezárva őket abba! Egy kikényszerített jelszóváltoztatás, emailes visszaigazolással megspékelve - ahogy azt a WordPress is csinálta a wordpress.org esetében nemrégiben - az egyedüli járható út.
Másodsorban, a SoSasta megengedi, hogy működő emailcím nélkül hozzon bárki is létre azonosítót náluk, éppen ezért nincs is email-alapú aktivációs rendszer a jelszóváltoztatások jóváhagyásához. Habár az azonosítóm létrehozásához kértek tőlem egy emailcímet és közölték is, hogy az arra küldött email segítségével kell aktiválnom az azonosítómat, de sosem kaptam semmilyen emailt. Azonnal be tudtam jelentkezni a szolgáltatásba és bármikor képes voltam megváltoztatni a jelszavamat.
Harmadsorban, a SoSasta nem adott nekünk semmi javaslatot arra vonatkozóan, hogy rendes jelszót válasszunk. Egyébként pedig az oldal egy egész sor abszurd rossz választási lehetőséget enged választani: a saját keresztnevemet, de az 123456, a monkey, a password és a secret jelszavakat is probléma nélkül tolerálja.
További információ angol nyelven